Vous ajoutez des règles de pare-feu au niveau de NSX Manager. Le champ Appliqué à vous permet d'affiner le niveau auquel vous souhaitez appliquer la règle. Vous pouvez ajouter plusieurs objets aux niveaux source et destination de chaque règle, de sorte à réduire le nombre total de règles de pare-feu à ajouter.

Conditions préalables

Si vous ajoutez une règle basée sur un objet VMware vCenter, vérifiez que VMware Tools est installé sur les machines virtuelles. Reportez-vous à la section Guide d'installation de NSX.

Les VM migrées de la version 6.1.5 vers la version 6.2.3 ne prennent pas en charge TFTP ALG. Pour activer la prise en charge de TFTP ALG après la migration, ajoutez et supprimez la VM de la liste d'exclusion ou redémarrez la VM. Un nouveau filtre 6.2.3 est créé avec une prise en charge de TFTP ALG.

Note : Prérequis de règles de pare-feu basées sur l'identité :
  • Un ou plusieurs domaines ont été enregistrés dans NSX Manager. NSX Manager obtient de chaque domaine enregistré des informations sur les utilisateurs et les groupes, ainsi que sur la relation entre eux. Reportez-vous à la section Enregistrer un domaine Windows avec NSX Manager.
  • Un groupe de sécurité basé sur des objets Active Directory ayant été créés et pouvant être utilisés comme source ou destination de la règle. Reportez-vous à la section Créer un groupe de sécurité.
  • Le serveur Active Directory doit être intégré à NSX Manager.
  • DFW doit être activé sur les hôtes et ces derniers doivent être mis à niveau vers NSX 6.4.0.
  • Les machines invitées doivent exécuter une version à jour de VMware Tools.
  • La version de la SVM GI doit être 6.4 ou une version ultérieure.
  • La règle doit être créée dans une nouvelle section de Règles de pare-feu.
  • Activer l'identité d'utilisateur à la source doit être sélectionné pour la règle.
  • Le champ Appliqué à n'est pas pris en charge pour les règles pour l'accès de poste de travail distant.
  • ICMP n'est pas pris en charge pour IDFW pour RDSH.
Note : Prérequis de règles de pare-feu universelles :

Dans un environnement cross-vCenter NSX, les règles universelles correspondent aux règles du pare-feu distribué définies sur la principale instance de NSX Manager dans la section des règles universelles. Ces règles sont répliquées sur toutes les instances secondaires de NSX Manager de votre environnement, ce qui vous permet de conserver de la cohérence entre les règles de pare-feu dans les limites de vCenter. L'instance principale de NSX Manager peut contenir plusieurs sections universelles pour les règles de niveau 2 universelles et plusieurs sections universelles pour les règles de niveau 3 universelles. Les sections universelles couvrent toutes les sections locales et de Service Composer. Des sections et des règles universelles peuvent être affichées, mais pas modifiées sur les instances secondaires de NSX Manager. Le placement de la section universelle par rapport à la section locale n'interfère pas avec la priorité de la règle.

Les règles de pare-feu Edge ne sont pas prises en charge pour vMotion entre plusieurs serveurs vCenter Server.

Tableau 1. Objets pris en charge pour les règles de pare-feu universelles
Source et destination Appliqué à Service
  • ensemble d'adresses MAC universelles
  • ensemble d'adresses IP universelles
  • groupe de sécurité universel qui peut contenir une balise de sécurité universelle, un ensemble d'adresses IP, un ensemble d'adresses MAC ou un groupe de sécurité universel
  • groupe de sécurité universel qui peut contenir une balise de sécurité universelle, un ensemble d'adresses IP, un ensemble d'adresses MAC ou un groupe de sécurité universel
  • commutateur logique universel
  • Pare-feu distribué - applique cette règle à tous les clusters sur lesquels le pare-feu distribué est installé
  • services universels et groupes de services précréés
  • services universels et groupes de services créés par l'utilisateur
Notez que d'autres objets vCenter ne sont pas pris en charge pour les règles universelles.

Assurez-vous que le pare-feu distribué NSX n'est pas en mode de compatibilité descendante. Pour vérifier l'état actuel du pare-feu, utilisez l'appel REST API GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. Si le pare-feu est actuellement en mode de compatibilité descendante, vous pouvez le faire passer en mode de compatibilité montante à l'aide de l'appel REST API PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. N'essayez pas de publier une règle du pare-feu distribué tant que le pare-feu distribué se trouve en mode de compatibilité descendante.

Procédure

  1. Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall).
  2. Vérifiez que vous êtes bien dans l'onglet Configuration > Général (General) pour ajouter une règle L3, L4 ou L7. Cliquez sur l'onglet Ethernet pour ajouter une règle de niveau 2.
    Si vous créez une règle de pare-feu universelle, utilisez une section de règle universelle.
  3. Pointez le curseur sur la cellule Nom (Name) de la nouvelle règle et cliquez sur modifier.
  4. Tapez le nom de la nouvelle règle.